Фишинг

Нова фишинг кампания примамва жертвите с фалшива история за покушение срещу Доналд Тръмп.  

Хакерите използват факта, че имаше реални нападения срещу новоизбрания президент на САЩ. В случая обаче става дума за фалшива новина, която се приписва на New York Times (NYT). Тя описва Тръмп в критично състояние, след като е бил прострелян от ирански агенти. 

За да придадат истинност на историята, киберизмамниците посочват, че информацията е била „класифицирана“. 

След като жертвата кликне, за да види пълния текст на историята, от нея се иска да въведе парола за служебен акаунт. Фишинг формулярът се променя спрямо компанията, в която работи потребителя. При откриването на кампанията от страна на ESET, например, той е използвал нейното лого и цветове. 

От компанията за киберсигурност посочват, че техните продукти откриват и блокират имейлите, скриптовете и URL адресите, включени в тази кампания. Те са уведомила и други доставчици на системи за сигурност. 

Съветваме ви винаги да внимавате с имейли и съобщения, които искат лична информация. Освен това, преди да кликнете върху връзки или да изтеглите прикачен файл, винаги проверявайте задълбочено адреса на подателя.  

Многофакторната автентификация (MFA) повишава сигурността на имейл акаунтите, като подлага потребителите на допълнителна проверка освен паролата. Тя намалява риска от неоторизиран достъп, което я прави критична мярка за сигурност на чувствителна информация в електронната поща. 

Хакерите обаче са започнали да крадат „бисквитки“ на сесии в браузърите, за да пробиват имейл акаунти с активирана MFA. За целта те използват уязвимости в мрежите или заразяване на устройствата със зловреден софтуер. 

Когато влизате в който и да е уебсайт, сървърът създава уникален идентификатор на сесията, който се запомня в браузъра ви като „бисквитка“. Нейният живот обикновено е 30 дни, като тя помага на потребителя да влиза в същата система без затруднения. 

В случай, че хакер открадне тази специфична „бисквитка“ за сесията, той може да я използва, за да си осигури достъп до акаунта ви. Дори когато е въведено MFA, предупреждават изследователи по киберсигурност от Malwarebytes. Откраднатата „бисквитка“ съдържа валидната информация за сесията, която позволява на нападателя да заобиколи допълнителната стъпка за удостоверяване, изисквана от MFA.  

Когато нападателят получи неоторизиран достъп до имейл акаунт, той открива съкровищница от чувствителна информация. Тя може да съдържа номера на кредитни карти и адреси, използвани в онлайн магазините. Тези данни се изпозлват за фишинг, атаки от типа man in the middle и дори за кражба на самоличност. 

За да се защитите, освен MFA: 

• инсталирайте софтуер за сигурност на всички устройства; 
• поддържайте устройствата и софтуера актуализирани; 
• използвайте предпазливо опцията „Запомни ме“. 
• изтривайте бисквитките след използване на браузъра; 
• посещавайте само сайтове, защитени с HTTPS; 
• редовно преглеждайте историята на влизане в ключови акаунти. 

В днешната дигитална епоха поддържането на контрол върху личната ви информация е по-важно от всякога.  

Социалните медии със слаби настройки за сигурност и всякакви онлайн дейности под истинското ви име могат лесно да бъдат използвани за създаване на обширна картина на вашата цифрова идентичност. Тя ще съдържа вашите интереси, навици и връзки и може да се превърне в оръжие срещу самите вас.  

Фишинг атаките, базирани на социално инженерство, използват точно такава информация. А колкото повече данни има за вас в мрежата, толкова по уязвими сте. 

Според 2024 Verizon Data Breach Investigations Report цели 68% от нарушенията на сигурността на данните са се случили заради човешка грешка. Голям процент от тези грешки идват, след като даден потребител е станал жертва именно на фишинг атака. 

Социалното инженерство обикновено има за цел да подмами хората да изпратят пари или да разкрият чувствителни данни. Така че подобни кампании могат да имат изключително сериозни последици.  

Какво има за мен в Google Search? 

За да си отговорите на този въпрос, можете да направите следното упражнение: 

• потърсете собственото си име (в идеалния случай в кавички, като използвате режима инкогнито на уеб браузъра и без да сте влезли в профила си в Google) и вижте какво се появява. Обикновено това е вашият профил в социалните мрежи, блог или уебсайт, свързан с работата ви;
• прецизирайте търсенето си с допълнителен параметър, например често посещаван уебсайт или може би името на вашата улица. Не е изненадващо, че резултатите от търсенето стават по-конкретни, което показва колко мощни са търсачките в събирането на нечии данни. 

Премахване на данните ви 

Добрата новина е, че Google позволява на потребителите да поискат премахване на определена информация за себе си. Особено, когато тя е критична. Можете да подадете директна заявка до платформата за преглед и премахване на резултати в търсенето. Те трябва да отговарят на определени критерии – например излагане на вашия имейл или домашен адрес, данни за вход или друга лична информация. 

Самата заявка за премахване е доста лесно да се придвижи – просто попълнете необходимия формуляр. Ако проблемът не е ясен или Google изисква допълнителна информация, за да определи точно за какво става въпрос, ще получите имейл с искане за допълнителни разяснения. 

Търсачката предоставя и инструмент, наречен Results about you (Резултати за вас), който позволява на потребителите да проследят онлайн данните за себе. За съжаление, той все още не е достъпен от България, но Google се е ангажирала да разширява постоянно достъпа до него.  

Когато това се случи, FreedomOnline ще ви уведоми своевременно. 

Български потребител поръчва чаша от САЩ. След известно време получава SMS с линк, който го препраща към сайта на куриерска фирма. Там той плаща 2,50 лв., за да да освободи пратката си от митницата. Сайтът обаче се оказва фалшив, а от сметката му липсват 1000 лева.

Този тип киберизмами стават все по-често срещани в България и засягат както крайни потребители, така и фирми. За това предупреди пред BTV Комисар Светлин лазаров от отдел „Киберпрестъпност“ на Главна дирекция „Борба с организираната престъпност“ към МВР.

По думите му те са лесни за реализиране, защото хората трудно разбират какво точно отварят на малките екрани на смартфоните си. Още повече, че често тези фалшиви страници са добре направени, написани на добър български език и съдържат официалното лого на някоя куриерска фирма.

Обикновено фалшивите сайтове приканват потребителите да въведат чувствителни данни като номер на сметката и CVC код. Ако го направят, те дават възможност на киберизмамниците да верифицират всяка една трансакция от тяхно име.

За да не станете жертва на подобна измама, винаги проверявайте задълбочено всяка страница, изискваща въвеждането на чувствителна информация.

Също така имайте предвид, че при поръчка от чужди сайтове митническата такса в повечето случаи е включена в цената. Ако все пак се наложи да освободите пратка лично, това се случва единствено чрез официалния портал на Агенция „Митници“.

Microsoft e най-използваният бранд за фишинг атаки в света. Когато става дума за кампании, базирани на имената на компании, това на създателя на Windows е засегнато в 61% от случаите.   

Apple се нарежда на втора позиция, като името и е замесено в 12% от опитите за фишинг. На трето място е Google – 7%. 

Facebook (3%), WhatsApp (1,2%) и Amazon (1,2%) оформят първата шестица. 

Alibaba прави своя дебют в топ 10 на Brand Phishing Ranking на Check Point Research за Q3 на седмата позиция с 1,1%. Adobe е осма с 0,8%, а деветото и десетото място са съответно за Twitter (0,8%) и Adidas (0,6%). 

Едно от заключенията в доклада сочи, че расте броят на имитиращите центърa за сигурност на WhatsApp страници. Те обикновено подканят потребителите да въведат лична информация, включително телефонен номер и държава или регион, под претекст за разрешаване на проблеми с акаунти. 

Тези данни показват, че трябва да бъдете изключително внимателни, когато получавате неочаквани имейли от водещи имена на технологичното поле (и не само). Ако получите подобно съобщение, направете всичко необходимо да се уверите в автентичността на подателя. 

Нова фишинг кампания с имейли от името на НАП заплашва българските потребители. 

Имейлът е за грешка при изчисляването на осигурителната вноска за пенсия. В него е приложен „чек за надплатени пенсионни и осигурителни вноски“ с текст, приканващ да кликнете върху линк, за да бъдат възстановени надвнесените суми. Този линк съдържа зловреден код.  

Като подател е посочен директорът на дирекция „Бюджет и финанси“ в НАП.  

Това представлява класическа форма на фишинг атака, чрез която се цели опит за кражба на лична информация в интернет – потребителски имена за достъп, пароли, банкови сметки и т. н. 

За да не станете жертва, имайте предвид следните фактори: 

• ако едно писмо наистина е с подател НАП, то връзката ще завършва на nra.bg/nap.bg. По никакъв друг начин; 
• линкът трябва да започва с https://, а не с http://. Буквата „s“ в първия вариант означава „secure“ (сигурен), което е знак, че сте в сайт, който е защитен и можете да му се доверите. 

Ако получите съмнителен имейл, не го отваряйте, а го изтрийте. В никакъв случай не кликвайте върху линка или прикаченият файл, ако има такъв. Не въвеждайте лични данни, банкова или друга информация.  

Спонсорирани от държавата хакерски групи от страни като Китай и Иран използват възможностите на ChatGPT, за да подобрят своите офанзивни кибер операции.  

Според доклада Influence and Cyber Operations: An Update на OpenAI случаите на употреба варират от отстраняване на грешки в злонамерен код до генериране на съдържание за фишинг кампании и дезинформация в социалните медии. 

Един от забележителните случаи включва китайска кампания, наречена SweetSpecter. Тя използва ChatGPT за шпиониране, изследване на уязвимости и разработване на зловреден софтуер. Групата дори е насочила неуспешна фишинг атака срещу служители на OpenAI. 

CyberAv3ngers, иранска група, свързана с Корпуса на гвардейците на ислямската революция, пък изследва уязвимостите в индустриалните системи с помощта на AI модела. Освен това тя е генерирала скриптове за потенциални атаки срещу критична инфраструктура. 

Друга иранска група – STORM-0817 – е разчитала на ChatGPT за разработване на зловреден софтуер за Android. Той е способен да открадне чувствителни потребителски данни, включително контакти, регистър на обажданията и информация за местоположението. 

Kиберпрестъпниците използват по-широк от всякога набор от злонамерени документи, за да разпространяват зловреден софтуер, и като цяло променят фокуса си при реализацията на фишинг кампании. 

Това е едно от основните заключение на доклада HP Wolf Security Threat Insights Report Q2 2024, според който хакерите дават приоритет на скриптови техники за фишинг пред подходи, основани на традиционни злонамерени файлове. Те заменят често използваните Microsoft Office документи, съдържащи злонамерени макроси, със скриптови езици като VBScript и JavaScript, комбинирайки ги с криптирани архивни файлове. 

Вместо да изпращат прикачен документ, който включва злонамерен макрос, участниците в заплахите изпращат архивен файл, който включва скрит злонамерен код на VBScript или JavaScript заедно с файла, който жертвата иска да изтегли. 

Според доклада на HP Wolf Security през второто тримесечие на 2024 г. 39,23% от атаките със зловреден софтуер са били извършени чрез архивен файл, в сравнение с 27,89% през предходния отчетен период. Компанията за киберсигурност установява, че нападателите са използвали 50 различни формата на архивни файлове за разгръщане на фишинг кампании. 

Усъвършенствана фишинг кампания изпозлва Booking.com, за да открадне пари и лични данни от потребителите. Тя се развива в две основни стъпки:  

• компрометиране на акаунти на мениджъри на места за настаняване;
• измами на клиентите в рамките на официалното приложение на Booking.com. 

Първоначалната стъпка е регистрацията на домейн „extraknet-booking.com“, който наподобява валидния поддомейн „extranet-booking.com“, използван от мениджърите на хотели в Booking.com за административни цели. За да подсили илюзията, фишинг сайтът хоства фалшив портал, който изглежда като легитимния интерфейс на сайта. Той събира чувствителна информация от нищо неподозиращите администратори, включително данни за вход, лична и финансова информация.  

Нападателите използват различни техники – от най-традиционните фишинг имейли до усъвършенствани техники за SEO Poisoning, които класират злонамерените връзки високо в резултатите от търсенето. Често нападателите използват и платени реклами, за да увеличат видимостта на своите портали.  

След като устройствата на управителите на хотели бъдат компрометирани, хакерите използват официалните чатове на Booking.com за разпространяване на зловредни връзки към клиентите – най-критичната и доходоносна част от веригата.  

Затова, когато използвате функцията за чат на платформата, винаги имайте едно наум за изпращаните ви връзки, дори да изглежда, че те идват от легитимен подател. 

ЗЛовредно приложение за Android комбинира класически тактики с неизползван до момента метод за атака: експлоатация на NFC четеца на телефона за клониране и кражба на физически дебитни и кредитни карти. Откритието е на анализаторите от ESET. 

Кампанията протича така: 

• фишинг имейл, в който се твърди, че устройството е компрометирано, подлъгва жертвата да изтегли зловредното приложение NGate;  
• след като то бъде инсталирано, показва фалшив уебсайт, изискващ въвеждане на информация като дата на раждане, ПИН код и др. (класическият фишинг елемент от атаката);  
• жертвите се подканват да включат NFC на своите устройства и да поставят физическа дебитна или кредитна карта на гърба на смартфона, за да бъде регистрирана в профила на потребителя; 
• чрез NFC четеца на телефона, NGate клонира картата; 
• откраднатите данни се използват създаване на други реплики на открадната карта, след което тя може да бъде източена чрез теглене на банкомат или плащане на POS терминали.  

Българските потребители също често са обект на подобни кампании. Така че бъдете много предпазливи при онлайн комуникация с финансови институции – проверявайте URL адресите на уебсайтовете, никога не давайте ПИН кодовете си и изключвайте функцията NFC, когато не ви е необходима.